二十二、Druid未授权访问漏洞

已于 2024-08-06 09:19:18 修改
阅读量351 收藏
点赞数 2
分类专栏: 未授权访问漏洞 文章标签: Druid未授权访问漏洞
于 2024-08-06 09:18:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63988455/article/details/140934462
版权

当开发者配置不当时就可能造成未授权访问下面给出常见Druid未授权访问路径:

漏洞特征:http://www.xxxx.com/druid/index.html

/druid/websession.html
/system/druid/websession.html
/webpage/system/druid/websession.html(jeecg)

》》》漏洞复现《《《

步骤一:使用以下语句在Fofa与Google上进行资产收集....

# Fofa
title="Druid Stat Index"

# PHPINFO页面
inurl:phpinfo.php intitle:phpinfo()
info.php test.php
    
# Druid未授权访问
inurl:"druid/index.html" intitle:"Druid Stat Index"

步骤二:对访问到的站点查看...

步骤三:Druid批量扫描脚本...

https://github.com/MzzdToT/CVE-2021-34045

》》》防御手段《《《

1. 配置访问账号密码。
2. 禁止对外网开放访问。

starhei.zxy
关注
专栏目录
web渗透测试漏洞复现:Druid 授权访问
HACKONE的博客
03-20 1371
Druid是一个高效的数据查询系统,主要解决的是对于大量的基于时序的数据进行聚合查询。通常是基于时序的事实事件,事实发生后进入Druid,外部系统就可以对该事实进行查询。为了彻底避免授权访问风险,如果不需要使用或者很少使用Druid的监控功能,可以尝试彻底禁用Druid监控页,这种做法比较简单粗暴,有利有弊。Druid是一个分布式数据分析平台,也是一个时序数据库,也是一个集群系统,使用zookeeper做节点管理和事件监控。(2)可能影响使用习惯,可能影响工作的开展,降低Druid管理的便利性。
Druid-Monitor监控Java-web和JavaSE项目
01-30
因为自己使用的是maven,所以就直接打成一个zip包了,避免有些人找不到jar包而苦恼了。所以本资源直接放到tomcat中即可运行。
Druid授权访问解决
最新发布
weixin_50003028的博客
09-03 1556
需要明确: Druid本身是不存在漏洞的,Druid授权访问是因为开发者配置的不够全面,导致攻击者输入ip/druid/index.html即可直接即可登录到Druid监控界面,这就是所谓授权,即可访问。为了彻底避免授权访问风险,如果不需要使用或者很少使用Druid的监控功能,可以尝试彻底禁用Druid监控页,这种做法比较简单粗暴,有利有弊。,并且Druid可以提供监控,监控SQL的执行时间、监控Web URI的请求、Session监控等功能,使用广泛。(1)可以继续使用Druid监控管理功能。
Java安全漏洞Druid授权访问解决
热门推荐
qq_46119575的博客
01-04 2万+
Java安全漏洞Druid授权访问解决
Druid授权漏洞进一步的利用
qq_50854662的博客
05-15 7608
Druid授权漏洞实战利用思路
【Java】Druid授权访问漏洞如何处理
姜太小白的博客
07-06 8972
Druid授权访问漏洞如何处理
基于Spring+SpringMVC+Druid+Boostarp的图书馆管理系统
08-17
【基于Spring+SpringMVC+Druid+Bootstrap的图书馆管理系统】是一个综合性的Web应用程序,它利用了Java技术栈的优势来实现高效、稳定的图书管理。这个系统的核心架构是基于Spring框架,Spring MVC作为其MVC设计模式的...
2023攻防演练必修高危漏洞集合.pdf
07-23
漏洞可能会导致敏感数据泄露和授权访问。 二、Smartbi 登录代码逻辑漏洞 Smartbi 存在登录代码逻辑漏洞,攻击者可以通过构造恶意登录请求获取授权访问权限。该漏洞可能会导致敏感数据泄露和授权...
斗象-2023攻防演练必修高危漏洞集合(水印)
08-11
14. **Zabbix授权访问(CVE-2022-23131)**:监控系统Zabbix的漏洞允许经身份验证的攻击者访问敏感信息。 15. **Apache HTTPd命令执行漏洞(CVE-2021-41773和CVE-2021-42013)**:这两个Apache HTTP服务器的漏洞...
2021年黑帽大会Big-Data-Stack-PPT
08-11
攻击者可能会针对这些组件进行SQL注入攻击,或者利用权限管理漏洞获取授权的数据访问。 **集群管理层**如Zookeeper和Ambari,是保持整个大数据生态系统运行的关键。Sheila Berta指出,Zookeeper的架构和端口是...
java开源包1
06-28
API访问授权的开放标准 OAuth OAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密 码),即第三方无需使用...
Druid授权访问 漏洞复现
Boom!脑洞大爆炸的博客
11-11 6486
Druid授权访问 漏洞复现
druid监控页面授权访问漏洞
m0_37354578的博客
06-30 1万+
一、项目环境 SpringBoot Version:2.4.5 二、问题场景 项目中引入druid-spring-boot-starter,且spring.datasource.druid.stat-view-servlet.enabled配置为true时,可以直接访问Druid Monitor监控平台,可能会造成企业机密信息被攻击者获取 <dependency> <groupId>com.alibaba</groupId> <artifactId&g
Druid授权访问漏洞修复
雅俗共赏的博客
06-13 3047
安全组针对系统漏扫发现系统存在Druid授权访问,会引发泄露系统敏感信息。
记一次Druid授权访问漏洞
weixin_44820552的博客
03-28 3995
Druid是阿里巴巴数据库出品的,为监控而生的数据库连接池,并且Druid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控。当开发者配置不当时就可能造成授权访问,暴露Druid的监控界面,获得敏感信息。
【SpringBoot项目】Druid授权访问漏洞 禁用Druid Monitor
AlbenXie的博客
03-30 2806
是阿里巴巴数据库出品的,为监控而生的数据库连接池,并且Druid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控,首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成授权访问
Druid授权访问漏洞
06-06
Druid授权访问漏洞是指攻击者可以通过授权访问的方式,获取到Druid系统中的敏感信息。Druid是一款开源分布式的实时数据处理系统,广泛应用于大数据领域。由于Druid默认安装时对其管理界面进行访问控制,因此攻击者可以通过访问Druid默认管理界面(如/druid/index.html)的方式获取到系统中的敏感信息,例如:数据源、查询历史、访问日志等。 攻击者可以通过Druid授权访问漏洞窃取敏感信息,进而发起更高级的攻击,例如:SQL注入、远程命令执行等。 修复Druid授权访问漏洞,可以采取以下措施: - 修改Druid默认配置,对管理界面进行访问控制,例如通过添加用户名密码认证、IP白名单等方式; - 及时升级Druid到最新版本,新版本已经修复了授权访问漏洞; - 对Druid进行定期安全检查,及时发现并修复漏洞。 此外,为了增强系统的安全性,建议不要将Druid管理界面直接暴露在公网上,最好通过VPN等安全通道进行访问
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值